ゼロ・トラストの実施

ゼロ・トラストの導入方法

ゼロ・トラスト・モデルの導入には課題がある。どのIT部門もセキュリティ強化のメリットを感じているが、ゼロ・トラストはすぐに使えるソリューションではなく、アプローチである。従来の境界ベースのセキュリティ・インフラを、NIST 800-207で定義されているゼロ・トラスト・アーキテクチャ(ZTA)に変えることは、一朝一夕にはできません。段階を踏んで実施する必要がある。

導入の礎となるのは、各ユーザーが各企業のリソースに対してどのような権限を持つべきかについて明確な考えを持つことである。この最初の理解がなければ、ゼロ・トラストを効果的に展開することはできない。しかし、いったんこの基礎が築かれれば、試験運用や完全な本稼働システムの前に、さらなる調査やポリシー定義の活動を通じて展開を進めることができる。

ゼロ・トラスト実施ステップ

1.目録を作る

まず、すべてのデータストア、アプリケーション、資産、サービスを把握することから始める。この作業には時間がかかりますが、ゼロ・トラストの実装を促進する既存のメカニズムを発見することもできます。例えば、ルーティングやファイアウォール機能など、有用なデータフローポリシーや実施制御が存在する可能性がある。

2.トランザクション・フローのマップ

インベントリを把握したら、各要素(ユーザー、データ、ネットワーク、アプリ)がどのように相互作用しているかをマッピングし、適切に実施されるコントロールを使ってこれらの資産を保護する必要がある。

3.ゼロ・トラスト・ポリシーを定義する

リソースとトランザクションの流れを完全に理解した上で、どのユーザーがどのリソースにアクセスできるか、そのためにどのアプリケーションを使用できるか、いつどこでアクセスできるか、認証方法(2FAやMFAなど)についてのポリシーを設定する。

4.トライアルの開始

リスクの低いシステムをいくつか選び、既存のネットワーク・プロトコルを使用して、よりきめ細かなコントロールを追加することから実装を開始する。システム間のアクセスは、それが必要な場合にのみ与える。静的な制御システムは、動的なZero Trustアクセス制御システムの実装につながる実験として使用することができる。

5.ビルドと追加

トライアルが成功すれば、一元管理されたゼロ・トラスト・システムの評価を開始できる。効率的な事業運営に必要なトラフィックフローが理解されれば、ポリシーの変更を動的に実施するシステムを設計して展開し、完全なゼロ・トラストの導入につなげることができる。

ゼロ・トラスト導入のヒント

  • 組織が利用可能なリソースについて明確な考えを持ち、どのユーザーが何にアクセスすべきか、各ユーザーが必要とするアクセスレベルも含めて確認する。
  • 上記と関連するが、何を守りたいのかを確認すること。
  • ゼロ・トラストを段階的に導入し、最終的にはすべてのシステムに導入する。
  • ユーザーとリソースのアクセスに関する全体的な洞察を、歴史的かつ動的にリアルタイムで提供する、堅牢なネットワーク・モニタリングがあることを確認する。
  • 新しい認証プロセスとその価値について、従業員を適切に訓練する。 
  • 生体認証のような自動認証を導入し、ユーザーフレンドリーなゼロ・タッチのゼロ・トラストを実現する。

ゼロ・トラストの実施例

  • 多要素認証(MFA)は、データソースやアプリケーションへのアクセスを保護します。
  • ネットワークは、より小さなマイクロセグメントのゾーンに分割され、個別のアクセスを維持する。
  • ユーザーのデバイスが危険にさらされていないことを確認するために監視され、最新のセキュリティパッチが適用され、チェックに失敗した場合はアクセスが制限される。
  • ユーザの行動は監視され、通常の行動から逸脱した場合、再認証が必要になるまでの期間が短くなる。
  • データ・アクセス・ポリシーは厳密に設計され、ユーザーごとに動的に調整されるため、ネットワーク侵入者による横の動きを防ぐことができる。
  • ユーザーとリソースのアクティビティは常に監視され、AIとMLが分析情報に適用され、新たな脅威に関する洞察を提供します。

BlackBerry 信頼ゼロのためのサイバーセキュリティ

セキュリティ・チームは皆、ゼロ・トラストを望んでいる-自分が誰であるか、アクセスが許可されているか、悪意を持って行動していないことを証明し、証明し続けるまで、誰も何かにアクセスしたり、アクセスし続けたりすることはできない。そのため、企業はBlackBerry®Zero Trust Architecture powered byCylance®AI を選択し、従業員、データ、ネットワークを保護しています。
さらに詳しく

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース